Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
RCPBewertung
Anmerkung
Die Informationen in diesem Abschnitt gelten nicht für Verwaltungsrichtlinientypen, einschließlich Backup-Richtlinien, Tag-Richtlinien, Chatbot-Richtlinien oder Opt-Out-Richtlinien für KI-Dienste. Weitere Informationen finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen.
Da Sie mehrere Ressourcenkontrollrichtlinien (RCPs) auf unterschiedlichen Ebenen anhängen können AWS Organizations, können Sie besser verstehen, wie sie bewertet RCPs werdenRCPs, um die richtigen Ergebnisse zu erstellen.
Strategie für die Verwendung RCPs
Die RCPFullAWSAccess Richtlinie ist eine AWS verwaltete Richtlinie. Sie wird automatisch an das Stammverzeichnis der Organisation, an jede Organisationseinheit und an jedes Konto in Ihrer Organisation angehängt, wenn Sie die Richtlinien zur Ressourcenkontrolle aktivieren (RCPs). Sie können diese Richtlinie nicht trennen. RCPMit dieser Standardeinstellung können alle Benutzer und Aktionen, auf die zugegriffen wurde, einer RCP Evaluierung unterzogen werden. Das heißt, bis Sie mit dem Erstellen und Anhängen beginnenRCPs, funktionieren alle Ihre vorhandenen IAM Berechtigungen weiterhin wie bisher. Diese AWS verwaltete Richtlinie gewährt keinen Zugriff.
Sie können Deny Anweisungen verwenden, um den Zugriff auf Ressourcen in Ihrer Organisation zu blockieren. Wenn eine Berechtigung für eine Ressource in einem bestimmten Konto verweigert werden soll, kann jede Ressource RCP vom Stammkonto bis hin zu jeder Organisationseinheit im direkten Pfad zum Konto (einschließlich des Zielkontos selbst) diese Berechtigung verweigern.
DenyAussagen sind ein wirksames Mittel zur Implementierung von Einschränkungen, die für einen größeren Teil Ihres Unternehmens gelten sollten. Sie können beispielsweise eine Richtlinie anhängen, um zu verhindern, dass Identitäten außerhalb Ihrer Organisation auf die Stammebene Ihrer Ressourcen zugreifen. Diese Richtlinie gilt dann für alle Konten in der Organisation. AWS empfiehlt dringend, keine Daten an das Stammverzeichnis Ihrer Organisation RCPs anzuhängen, ohne die Auswirkungen der Richtlinie auf die Ressourcen in Ihren Konten gründlich zu testen. Weitere Informationen finden Sie unter Auswirkungen testen von RCPs.
In Abbildung 1 ist der Organisationseinheit Produktion eine Datei RCP angehängt, die eine ausdrückliche Deny Erklärung für einen bestimmten Service enthält. Infolgedessen wird sowohl Konto A als auch Konto B der Zugriff auf den Service verweigert, da eine Ablehnungsrichtlinie, die einer beliebigen Ebene in der Organisation zugewiesen ist, für alle Konten OUs und Mitgliedskonten, die sich darunter befinden, geprüft wird.
Abbildung 1: Beispiel für eine Organisationsstruktur mit einer Deny Erklärung, die der Produktionsorganisation beigefügt ist, und deren Auswirkungen auf Konto A und Konto B
